【詳細情報】ポート10666、65000、65010を介して通信するRoxrat.12トロイの木馬 | ScanNetSecurity
2024.05.06(月)

【詳細情報】ポート10666、65000、65010を介して通信するRoxrat.12トロイの木馬

◆概要:
 Roxrat.12は、新しいバックドア型トロイの木馬である。Roxrat.12はサイズが716,800バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有媒体を介して、Microsoft Windowsオペレーティングシステ

国際 海外情報
facebookLINE
◆概要:
 Roxrat.12は、新しいバックドア型トロイの木馬である。Roxrat.12はサイズが716,800バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有媒体を介して、Microsoft Windowsオペレーティングシステムを搭載した他のコンピューターに拡散する。このトロイの木馬は、Borland Delphiプログラミング言語で記述されている。

 Roxrat.12は、WindowsディレクトリーにファイルShell64.exe、WindowsのシステムディレクトリーにファイルZbios.exeとして自己コピーを作成する。Roxrat.12は、Windowsとテキストファイルの起動時にトロイの木馬を実行するように、Windowsレジストリを以下のように変更する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Shell 64=C:Windows System directoryShell64.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Microsoft Shell 64=C:Windows System directoryShell64.exe

HKLMSoftwareCLASSES xtfileshellopencommand
C:Windows System directorybios.exe /NOTEPAD "%1""

 さらに、Roxrat.12は、Windowsの起動時にこのトロイの木馬を実行するように、ファイルwin.ini及びsystem.iniも以下のように変更する。

System.ini
[boot]
shell=Explorer.exe C:Windows directoryShell64.exe

Win.ini
[Windows]
run=C:Windows directoryShell64.exe

 一旦インストールされると、Roxrat.12がリモート攻撃者からのコマンドをTCPポート10666、65000、65010で受信する。接続されると、攻撃者はパスワードやその他の重要なデータの盗用、ローカル設定の変更、ファイル管理の実行、さらなる悪意のあるプログラムのインストール、その他の悪意のある数々の操作を実行できる。

 又、Roxrat.12は、検出を回避するか感染コンピューターへの再攻撃を実行するために、複数のアンチウイルス及びセキュリティ関連のプロセスを無効にする。

別名:
Backdoor.Roxrat.12、Roxrat.12、Roxrat


◆情報ソース:
・Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/backdoor.roxrat.12.html ) , Dec. 05, 2002

◆キーワード:
 Trojan: Backdoor

◆分析:
 (iDEFENSE 米国) Roxrat.12は、Roxratトロイの木馬ファミリーの目立たない亜種である。

◆検知方法:
 WindosディレクトリーのファイルShell64.exe及びWindowsシステムディレクトリーのファイルZbios.exeを探す。さらに、トロイの木馬によって作成されたWindowsレジストリキーとファイルsystem.ini及びwin.iniへの変更を探す。

◆リカバリー方法:
 Roxrat.12に関連した全ファイルとWindowsのレジストリキーの変更を全て削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。ファイアウォールを使用し全通信を監視して管理し、感染したコンピューターからリモート攻撃者によってインストールされた可能性のある全ての悪意のあるプログラムが完全に排除されたことを確認する。全パスワードを変更し、攻撃に対してセキュリティを強化する。全てのアンチウイルス及びセキュリティ関連ソフトウェアの機能を検証する。

◆暫定処置:
 全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。全通信を監視し管理するためにファイアウォールを使用する。

◆ベンダー情報:
 現在、シマンテック社のアンチウイルスソフトウェアでは、この新しい攻撃用プログラムに対応したアップデートシグニチャファイルを提供している。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【23:47 GMT、12、05、2002】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  7. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP